Beim Lesen von Hinweisen, wie man ein
sicheres Paßwort erstellt, erhält man mitunter den Eindruck, daß es sich da um eine spezielle Geheim-Wissenschaft, die nur wenigen Personen zugänglich ist, handelt. Und die nimmt teilweise sogar bizarre Züge an - doch das ist beileibe nicht so, wenn man nur wenige, sogar sehr wenige, Prinzipien bei der Erstellung bedenkt.
Die Entropie von Paßwörtern - Meßzahl für die Sicherheit
Die Güte eines Passwortes wird mit dem Fach-Begriff "
Entropie" (
Ungewissheit) bezeichnet. Ein Paßwort, welches man kennt besitzt eine Entropie von 0 (
also keine), und je höher der Entropie-Wert eines Paßwortes liegt, umso schwerer ist es, dieses Passwort durch Ausprobieren herauszufinden.
Die Entropie wird durch eine mathematische Formel berechnet, die zum einen die
Länge des Passwortes, also die Anzahl seiner Zeichen und zum anderen die
Größe des Zeichenvorrates, aus dem die Zeichen des Passwortes stammen, berücksichtigt.
Der Zeichenvorrat eines Paßwortes
Der
Zeichenvorrat, aus dem Passwörter in den meisten Fällen stammen, sind die sogenannten "druckbaren" Zeichen (
eigentlich sind es ja die "tippbaren" Zeichen), das sind die Buchstaben a-z in Klein- und Großschreibung, die Zahlen 0-9 und die Sonderzeichen, die sich auf einer üblichen Computertastatur befinden.
Bildet man aus diesem Zeichenvorrat ein Passwort mit einer Länge von zum Beispiel 10 Zeichen, so beträgt die Entropie bei Verwendung der:
- Kleinbuchstaben a-z (26 mögliche verschiedene Zeichen): Entropie=48
- Klein- und Großbuchstaben und Zahlen (62 mögliche verschiedene Zeichen): Entropie=60
- Klein- und Großbuchstaben und Zahlen und Sonderzeichen (94 mögliche verschiedene Zeichen): Entropie=66
Wir sehen, daß die Entropie steigt, umso mehr mögliche Zeichen ein Zeichenvorrat besitzt.
Das ist auch der Grund, warum für ein Paßwort mindestens ein Groß- und Kleinbuchstabe, Zahl und Sonderzeichen empfohlen wird, denn dadurch wird dann der größtmögliche Zeichenvorrat verwendet.
Die Länge eines Paßwortes
Ab einer Entropie von etwa 80 kann man derzeit von einem sicheren Paßwort sprechen, hierfür würde man benötigen:
- 17 Zeichen Kleinbuchstaben (
Entropie 80, und 19 Zeichen wären bereits Entropie 90)
- 14 Zeichen Groß- und Kleinbuchstaben und Zahlen (
Entropie 84, und 15 Zeichen wären bereits Entropie 90)
- 13 Zeichen Groß- und Kleinbuchstaben und Zahlen und Sonderzeichen (
Entropie 86, und 14 Zeichen wären bereits Entropie 92)
Je länger ein Paßwort ist, umso höher liegt also seine Entropie.
Die Sicherheit eines Paßwortes
Doch warum setze ich eigentlich eine Entropie von 80 als Grenze der "Sicherheit"? Nun, diese Grenze hängt ja letztlich davon ab, wieviel Zeit ein Angreifer für das Herausfinden eines Paßwortes bei bestimmter Entropie benötigen würde.
Hierzu eine Tabelle:
|
1 Million Versuche/s |
1 Milliarde Versuche/s |
1 Billion Versuche/s |
Entropie 60 |
37.500 Jahre |
37,5 Jahre |
14 Tage |
Entropie 70 |
37.400.000 Jahre |
37.400 Jahre |
37,4 Jahre |
Entropie 80 |
38.300.000.000 Jahre |
38.300.000 Jahre |
38.300 Jahre |
Entropie 90 |
39.200.000.000.000 Jahre |
39.200.000.000 Jahre |
39.200.000 Jahre |
Hinweis: Rein statistisch gesehen wird das gesuchte Paßwort bereits ab etwa der Hälfte der Versuche tatsächlich gefunden, die obenstehenden Werte müßte man also für einen praktischen Wert sicherheitshalber noch verringern!
Der schnellste bekannte Computer schaffte vor einiger Zeit
pro Sekunde etwa 350 Milliarden Versuche pro Sekunde, mittlerweile könnten es schon mehr sein.
Wohlgemerkt - hier handelt es sich um einen speziellen, für das Brechen von Paßwörtern konstruierten, Computer. Der "Normalnutzer" dagegen, mit einem etwas besseren Home-Computer, würde dagegen "nur" bis um die 1-2 Milliarden pro Sekunde schaffen. Wer also nicht vor Geheimdiensten, sondern nur vor bösmeinenden "Normalbürgern" geschützt sein will, der kommt auch mit einer etwas geringeren Entropie aus.
Doch, wer wirklich sicher gehen will, und das auch noch für ein paar Jahre in der Zukunft, der orientiert sich besser an einer höheren Zahl von Versuchen, und dann benötigt man eben eine Entropie von etwa 80, bei sensiblen Daten auch eine Entropie von 90 und mehr.
Methoden zum Herausfinden von Paßworten
Grundsätzlich gibt es, was Paßwörter angeht, zwei technische Methoden, sie herauszufinden:
1) Die "Wörterbuchattacke"
Bei der Wörterbuchstattacke probiert der Angreifer die Wörter der deutschen (
oder einer anderen) Sprache nacheinander aus. Dabei werden dann unter Umständen auch Doppel- oder Dreifachwörter (
z.B. Vor- und Nachname oder ein einfacher Satz) und gerne verwendete Austauschbuchstaben (
z.B. "3" für "S", oder "1" für "L") mit berücksichtigt, auch Geburtsdaten werden damit erfaßt.
Paßwörter, die aus Wörtern bestehen, die nicht in einem Wörterbuch stehen, also etwa Wörter, die es nicht gibt, wie "Grzbrum", werden natürlich damit nicht herausgefunden. Das sieht aber anders aus bei der nächsten Methode:
2) Die "Pure-Gewalt-Attacke" (engl.: Brute Force Attack)
Hier probiert der Angreifer zunächst alle möglichen einstelligen Zeichen aus, dann zweistellige, dann dreistellige, und so fort. Und dabei werden dann auch künstliche Wörter oder sinnlose Zeichenkombinationen, wie z.B. "Fg7+Tx" herausgefunden.
Aus diesen beiden Beschreibungen ergibt sich, daß man bei der Wahl seines Paßwortes Wörter vermeiden muß, die einen Sinn ergeben (
z.B. "Paßwort", "geheim", "Schnuckelmaus", "Dagobert", "Fritz Müller"), doch ebenso Zeichenkombinationen, die kurz sind und/oder nur aus einem kleinen Zeichenvorrat stammen, denn
bei der Attacke mit Purer Gewalt erhöht sich die Zahl der Versuche mit jedem zusätzlichen Buchstaben um ein Mehrfaches.
Erstellung eines sicheren Paßwortes - Beispiel für eine Strategie
Eine ganz banale Strategie besteht, um jetzt ein Beispiel zu geben, darin, eine für den jeweiligen Benutzer alltägliche und leicht merkbare, doch nicht zu kurze, Wortkombination zu finden. Nehmen wir also:
"holterpolter"
Allerdings steht dieser Begriff womöglich in einem Wörterbuch, also verfremden wir zunächst das Wort in:
"kolterpolter"
Nun erhöhen wir den Zeichenvorrat um die Großbuchstaben, dazu reicht bereits ein einziger aus, den wir verwenden:
"Kolterpolter"
Jetzt noch Zahlen und Sonderzeichen dazu:
"Kolterpolter=42"
(oder auch: "kolterPolter+11", "99kolterpolterR!", "kol+Terpol+Ter3", "kolteR+polter=3?")
Das ergibt dann eine Länge von 15 Zeichen und eine Entropie von sage und schreibe 98 - bei dem Versuch, dieses Paßwort mit Purer Gewalt herauszufinden, werden sich auch Supercomputer die Schaltkreise ausbeißen, und das nicht nur in diesem Jahr, sondern garantiert auch noch in den nächsten paar kommenden. Und es ist wirklich nicht allzuschwer, das Wort im Kopf zu behalten (
und natürlich nirgendwo aufzuschreiben), insbesondere dann nicht, wenn es ein Paßwort ist, das man tagtäglich verwendet.
Doch Vorsicht: Auch ein solches sicheres Paßwort kann man selbst schnell unsicher machen, wenn man es nämlich für mehrere verschiedene Dinge verwendet: beispielsweise für Online-Banking als "Kolterpolter=42bank", für Paypal als "Kolterpolter=42paypal", für die Kreditkarte als "Kolterpolter=42kredit" oder privat als "Kolterpolter=42nacktbilder". Man darf also sein "sicheres" Paßwort nicht dadurch kompromittieren (
unsicher machen), daß man es mehrfach verwendet, selbst dann nicht, wenn es nur ein systematisches Bestandteil eines anderen Paßwortes wird.
Der Grund hierfür ist einfach: Schafft es jemand, an nur eines dieser Paßworte zu kommen, wie auch immer, so erkennt er womöglich sofort das System, das dahintersteckt und kann dementsprechend dann in wenigen Versuchen die anderen Paßwörter dieser Gruppe herausfinden ... und versuchen, sie anzuwenden, mit womöglich fatalen Folgen für den Paßwortinhaber.
WICHTIGE Paßwörter, die in dieser Hinsicht einmalig sein müssen, sind beispielsweise:
- Zugang zu Bankkonto und Kreditkarte
- Zugang zu Arbeitsplatzcomputer oder privaten Computer
- Zugang zu allen Speichermedien bzw. Angeboten, die persönliche und/oder sensible Daten enthalten (z.B. Online/Cloud-Speicher, E-Mail, etc.).
Anders sieht es freilich aus, wenn es um Paßwörter geht, die nicht wirklich sicher sein müssen, weil sie keine gravierenden Geheimisse verbergen, z.B. als Mitglied eines öffentlichen Forums oder für den Online-Zugang zu irgendwelchen Kundendienstangeboten.
Da kann man durchaus auch mit "klym+bim=For1", "klym+bim=For2", "klym+bim=ServFahrrad" und dergleichen operieren. Wird ein solches Paßwort nämlich herausgefunden, dann kann man notfalls durch einen persönlichen Anruf, eine E-Mail an den Forumsbetreiber oder den Besuch beim Servicecenter den Zugang wieder zurückbekommen (
und dann gleich das Paßwort ändern...).
Solche Paßwörter kann man sogar aufschreiben und in der Brieftasche herumtragen - geht die Brieftasche und damit auch die Paßwörter verloren, ist es zwar ein bißchen aufwendig, die dann schnell zu ändern, doch keineswegs ein Hals- und Beinbruch...